Olá Habr! Costumamos falar sobre maneiras de recuperar dados em unidades magnéticas e de estado sólido, fazer backup,
criar RAIDs e outros truques que nos ajudam a não ficar sem informações importantes no momento mais inoportuno de nossa vida digital. Mas e se, em algum momento, precisarmos destruir os dados em uma das unidades SSD e retorná-los ao seu estado original, como se estivessem prontos para uso?
Ou vice-versa. Por exemplo, você precisou apagar com segurança todos os dados em uma "unidade" de estado sólido. E para que fosse impossível restaurá-los. E então você nunca conhece pessoas curiosas e caçadores de dados. O que fazer em tais situações? É suficiente apenas formatar o SSD, como um HDD tradicional (se você não shamanized o firmware “estanho”, é claro), ou você precisará de algo mais?
Infelizmente, a formatação simples das células da memória não pode ser chamada de alta garantia de apagamento confiável dos dados. No caso de unidades SATA, o recurso ATA Secure Erase, sobre o qual
falamos em outro artigo, ajudará. Mas o que fazer com as unidades m.2 / mSATA? A função de
exclusão criptográfica (Crypto Erase), que é implementada em dispositivos como Kingston
UV500 ,
A2000 ,
KC2000 ,
KC600 ,
vem em socorro . A segurança é uma das principais funções dessas unidades, incluindo a criptografia automática de 256 bits baseada no algoritmo AES, a compatibilidade com as soluções de segurança TCG Opal 2.0, o padrão de segurança IEEE1667 e o suporte interno para Microsoft eDrive e BitLocker.
Com os SSDs acima, os usuários finais podem proteger todos os dados de olhares indiscretos, mesmo que a unidade seja removida do computador principal e instalada em outro PC. Não é difícil adivinhar que essas unidades são usadas principalmente no ambiente de negócios para impedir, por exemplo, tentativas de espionagem industrial. É igualmente difícil supor que, para garantir a segurança máxima nessas unidades, simplesmente exista a possibilidade de apagar os dados para sempre. No nosso caso, essa função é chamada TCG Revert.
SSDs com criptografia automática: como funciona?
As unidades com criptografia automática (SED / Self-Encrypting Drive) existem no mercado há muitos anos, mas, na realidade, poucas pessoas fazem pleno uso dos recursos dessas unidades. Esses SSDs usam o mecanismo de criptografia embutido no controlador da unidade para criptografar cada arquivo armazenado nas células de memória flash. Esse método de criptografia baseado em hardware fornece um alto nível de segurança de dados, é invisível para o usuário, não pode ser desativado e não afeta o desempenho.
As modernas unidades de criptografia automática são baseadas no padrão da indústria SSC V1.0 Trusted Computing Group (TCG) Enterprise. Em produtos mais antigos, o mecanismo de criptografia de hardware simplesmente usaria a chave de criptografia fornecida pelo usuário. No caso do TCG Opal 2.0, o mecanismo de hardware usa uma "chave de criptografia de chave" (KEK) aleatória criada por um gerador de números aleatórios. Essa chave não está disponível para nenhuma interface externa e é usada para criptografar chaves MEK (ou "chaves de criptografia multimídia"), que são sempre armazenadas em forma criptografada dentro do controlador SED SSD.
O que é o TCG Opal?
A classe de subsistema de segurança TCG é um recurso de hardware para SSDs SED com criptografia automática que ajuda a acelerar a criptografia de dados na unidade. Diferentemente do software, a criptografia de hardware libera o processador ou o sistema operacional da carga do processo de criptografia e descriptografia, de modo que o desempenho geral não se deteriora. O conjunto de especificações Opal SSC é um conjunto de padrões de gerenciamento de segurança para proteger dados contra roubo e adulteração por pessoas sem escrúpulos que podem acessar o dispositivo de armazenamento ou o sistema host no qual está instalado. Vale ressaltar que a função TCG Opal não funciona por si só, mas envolve a instalação de software especial na unidade (da Symantec, McAfee, WinMagic e outras empresas), que fornece configurações de segurança e inicialização do usuário sempre que o computador é ligado.
As especificações do Opal SSC foram projetadas para proteger os dados em repouso quando o dispositivo de armazenamento foi desligado e o usuário desconectou o sistema. Nesse caso, você não deve associar o estado ocioso ao "modo de suspensão" quando o usuário não sair do sistema. Como resultado: você precisa comprometer e abandonar o uso conveniente do modo de espera. Também vale a pena considerar que os SSDs do SED não foram projetados para proteger contra o acesso a dados após o desbloqueio do dispositivo de armazenamento usando credenciais válidas.
Em repouso, a área principal do disco está completamente bloqueada e inacessível. No entanto, quando o sistema é inicializado, o disco criptografado inicia uma cópia de sombra da partição principal de inicialização para identificação pré-inicialização. Esse MBR shadow é um pequeno sistema operacional que solicita ao usuário uma senha da unidade, que é então transferida para o controlador SSD através de comandos OPAL. Se a senha for válida, o disco será desbloqueado e o sistema operacional real será inicializado. Como resultado, apenas usuários autorizados podem acessar dados no dispositivo ao qual eles adicionaram proteção por senha; Isso minimiza a probabilidade de roubo, adulteração ou perda de dados.
Como apagar permanentemente dados de um SSD?
Algumas unidades SSD, incluindo as de criptografia automática, simplesmente não podem ser apagadas completamente por causa dessa criptografia de hardware. Ao mesmo tempo, existe uma solução eficaz que permite o chamado "apagamento" criptográfico de informações através da operação do PSID Revert. De fato, todo o procedimento de limpeza se resume ao processo de destruição de todas as chaves de criptografia. Assim, os dados não podem mais ser descriptografados. Observe que esse método não pode ser usado em SSDs sem o suporte do TCG Opal. Além disso, não funcionará se as opções TCG Opal e eDrive não estiverem ativadas. Um manual mais detalhado para trabalhar com o TCG Opal, em relação aos discos Kingston, pode ser encontrado
no site oficial da empresa . Neste artigo, abordaremos apenas o tópico da exclusão completa de dados de um SSD, sem entrar nos meandros das configurações preliminares que devem ser feitas antes de usar unidades compatíveis com Opal.
Então ..., das palavras à ação. Para apagar todos os dados de um SSD Kingston KC2000 de 500 GB usando o método Revert, você precisará designar a "unidade" acima como uma unidade secundária no Windows 8, 10 ou Windows Server 2012. Quando tudo estiver pronto, basta fazer o download do utilitário no site oficial do fabricante
Kingston SSD Manager , instale-o na unidade principal e execute-a (para unidades de outros fabricantes, também são fornecidos utilitários de emergência com funcionalidade semelhante, para que o método de apagamento criptográfico seja semelhante). Entre as configurações de manutenção do disco, há uma opção que precisamos redefinir a unidade.
Você pode encontrá-lo na guia Segurança, onde precisará selecionar o comando Revert TCG ("Redefinir configurações iniciais do TCG"). Para confirmar o acesso ao SSD, digite o número PSID na caixa de texto à direita do TCG Revert - um identificador SSD exclusivo de 32 dígitos (você pode encontrá-lo na própria unidade) e ative a opção de redefinição. Após concluir a operação de redefinição, o programa exibirá uma mensagem sobre a conclusão bem-sucedida da operação. Caso contrário (se a mensagem não aparecer: por exemplo, você cometeu um erro e digitou o número PSID errado), as configurações devem ser redefinidas novamente.
Com base nos resultados do procedimento, todos os dados no inversor serão excluídos criptograficamente e o SSD será redefinido para as configurações de fábrica. Resta desativar o suporte à IEEE1667 e a unidade está pronta para reutilização sem qualquer preocupação com o fato de que as informações nela serão restauradas. Além disso, você pode usar qualquer aplicativo de segurança compatível para reativar o OPAL ou o eDrive em um SSD.
Para obter mais informações sobre os produtos da Kingston Technology, visite
o site oficial
da empresa .